PSD2: Nach der Europäischen Kommission ist vor dem EU-Parlament

Open Banking unter PSD2
Bild: Open Banking unter PSD2 | Jacques Palut | Getty Images

Wie geht's weiter nach der Verabschiedung der RTS durch die Europäische Kommission?

Bekanntlich gilt die PSD2 ab 13. Januar 2018, allerdings mit Ausnahme der Sicherheitsmassnahmen, welche in den RTS (Regulatory Technical Standards) definiert sind. Diese sind von der Europäischen Kommission diese Woche verabschiedet worden – und so geht's weiter.

Was gilt wann in der EU?

Die PSD2 tritt am 13. Januar 2018 in Kraft. Die Sicherheitsmassnahmen mit den Bestimmungen zur starken Kundenauthentifizierung und den Standards für die Kommunikation mit Drittparteien sind in den RTS definiert. Diese RTS, ausgearbeitet von der EBA, sind von der Europäischen Kommission überprüft, angepasst und in finaler Version am 27. November 2017 publiziert worden.

Im nächsten Schritt ist das EU-Parlament am Zug. Voraussichtlich Ende Februar 2018 sollen diese Standards ratifiziert werden. Nach der Ratifizierung stehen Banken und anderen PSP 18 Monate zur Verfügung, um die RTS umzusetzen. Ende 3. oder Anfang 4. Quartal 2019 sollten dann sämtliche Marktteilnehmer bereit sein.

Was gilt für wen?

Banken (ASPSPs) in der EU müssen FinTechs und Finanzdienstleistern, also Drittparteien (TTPs), sowie anderen Banken Zugriff auf Kundenkonten und benötigte Daten gewähren, sofern der betroffene Kunde dies wünscht und erlaubt. Die Zugriff auf das Konto (XS2A) betrifft insbesondere Kontoinformationsdienste (AISPs) und Zahlungsauslösedienste (PISPs) – oder andere Banken, welche die eine oder die andere Rolle spielen können.

Regeln und Ausnahmen

Die Regeln, Ausnahmen und Anpassungen können in der Zusammenfassung sowie in der finalen Version der RTS der Europäischen Kommission nachgelesen werden. Im Fact Sheet in Kurzform, in den RTS im Detail.

Die wesentlichen Punkte, welche die Europäische Kommission konkretisiert, erweitert oder angepasst hat:

Starke Kundenauthentifizierung (SCA)
Die SCA (Strong Customer Authentication) wird bestätigt und klar definiert, die Zwei-Faktor-Authentifizierung ist vorgeschrieben als Grundlage für den Zugriff auf das Zahlungskonto sowie für das Online-Bezahlen. Definierte Ausnahmen gibt's auch, um die Zahlungsabwicklung nicht zu behindern, insbesondere für Kleinbeträge unterhalb von 30 Euro oder für kontaktlose Zahlungen. Details und weitere Ausnahmen: Fact Sheet und finale RTS.

Schnittstellen
Dedizierte Schnittstellen, also APIs, ohne Hindernisse für Kontoinformationsdienste und Zahlungsauslösedienste. Screen Scraping ist verboten und faktisch vom Tisch. Ausnahmen: Screen Scraping bleibt erlaubt während der Übergangszeit, bis die RTS im Markt greifen kann, und als Notfall-Kanal, wenn der Zugriff über die API nicht funktioniert. Dieses "Nicht-Funktionieren" ist jedoch so umschrieben und geregelt, dass ab Ende 2019 für Screen Scraping kein Spielraum bleiben dürfte. Details dazu: Fact Sheet und finale RTS.

Datenschutz
Die Regeln zum Datenschutz sind von der Europäischen Kommission konkretisiert, ausführlich beschrieben und damit mehrfach unterstrichen worden. Details: Fact Sheet und finale RTS.

Klarheit und Sicherheit

Die Reaktionen auf die Verabschiedung der RTS durch die Europäische Kommission fallen unterschiedlich aus. Das liegt in der Natur der Sache, weil Banken, FinTechs oder auch Kreditkarten-Anbieter nicht unbedingt aus demselben Blickwinkel agieren und argumentieren.

Mit den vorliegenden Entscheidungen und Papieren hat die Europäische Kommission jedoch Klarheit geschaffen, einige Unsicherheiten oder Widersprüchlichkeiten beseitigt und spielt nun den Ball dem EU-Parlament zu. Ratifizierung vorausgesetzt, kann ab Ende Februar 2018 mit der Umsetzung der RTS begonnen werden. Und 18 Monate später bekommt Open Banking im Markt und in der Praxis ein neues und zusätzliches Gewicht.

Europäische Kommission: Fact Sheet zur PSD2 und zu den RTS

Finale RTS: Dokument der Europäischen Kommission vom 27. November 2017

Stichworte zum Thema im Lexikon: PSD2 | PSD2 Schweiz | Open Banking